한 국가에서 DNS가 잘못된 IP 주소를 확인

내 친구 중 한 명이 Claroline을 기반으로하는 eLearning 웹 사이트를 가지고 있습니다. 이틀 전, 스위스 사용자 만 웹 사이트 도메인에 액세스 할 때 다른 IP 주소로 "임의로"리디렉션을 시작했습니다.

학생 PC에서 DNS 서버를 8.8.8.8 또는 9.9.9.9로 강제 설정하면 도메인이 올바르게 확인됩니다. 그러나 로컬 스위스 DNS 서버를 유지하면 잘못된 (블랙리스트에 올린) IP 주소로 확인됩니다.

이상한 부분은이 고객과 자신의 컴퓨터 만이 아닙니다. 스위스에 거주하는 모든 학생도 영향을받습니다. 그러나 프랑스 인은 아닙니다.

두 번째 이상한 부분은 다음과 같습니다. 일부 페이지는이 잘못된 IP 주소에서 올바른 내용으로 응답합니다. eLearning이 다른 서버에 복제되었거나 어딘가에 캐시 된 것처럼.

서버가 이전 Ubuntu 10.04.4 LTS이며 올바르게 보호 / 구성되지 않았을 수 있습니다. 이 서버에 대한 전체 액세스 권한이 있지만 관리하지 않았으므로 무엇을 찾아야할지, 무엇을해야할지 잘 모르겠습니다.

여기 내가 지금까지 보거나 시도한 것이 있습니다.

• 모든 Apache 2 vhost conf를 확인했습니다.
• 확인 된 iptables (비어 있음) /etc/hosts및 /etc/resolv.conf(안전)
• Swisscom (메인 Swiss Telecom)이 도메인 등을 블랙리스트에 올렸는지 물었습니다. Nope Checked claroline code base : 안전 해 보이지만 엄청납니다. 모든 파일을 확인할 수 없습니다.

학생 Windows 컴퓨터 중 하나에 대한 nslookup은 다음과 같습니다.

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

물론 195.186.210.161은 서버의 올바른 IP 주소가 아닙니다.

저는 시스템 관리자가 아닙니다. 친구를 돕고 있으므로 다음에 무엇을 볼지 잘 모르겠습니다.

MadHatter가 쓴 것처럼 이것은 최종 사용자의 ISP (Swisscom)가 필터링 프록시를 통해 사이트를 다시 라우팅합니다. Internet Guard 서비스에 가입 한 모든 사용자가 실제로는 사이트가 아닌 해당 사이트를 통해 프록시 될 가능성이 큽니다.

그들은 이 필터가 멀웨어, 피싱 및 바이러스에 대한 것이므로 "분류"의 문제가 아니라 보안의 문제가되어야한다고 말합니다.

따라서 첫 번째 단계는 사이트가 감염되지 않았는지 확인하는 것입니다. PHP 사이트는 상당히 취약한 경향이 있습니다 (누군가 보이는 계층 구조의 어딘가에 .php 파일을 업로드하는 방법을 찾으면 원하는 것을 수행하기 위해 원격으로 실행할 수 있습니다). 피해를 입힐 수있는 다른 많은 방법들도 있습니다 (SQL 주입, 저장된 XSS ...).

귀하의 홈페이지가 항상 차단되지 않았거나 항상 그렇지는 않습니다.

• 일부 페이지 만 감염 됨
• 감염은 사용자 요청 시간의 일부만 표시합니다 (레이더 아래로 비행하는 일반적인 전략).
• 또는 일부 페이지에 오 탐지를 유발하는 다른 항목이 있습니다.

웹 사이트 주소를 프록시의 IP 주소로 지정하면 결과를 직접 볼 수 있습니다. /etc/hosts파일 을 편집 하고 (플랫폼에 따라 세부 사항이 다름) 행을 추가하면됩니다.

195.186.210.161        elearning.affis.ch

그런 다음 해당 사용자 중 하나로 사이트를 방문하여 차단 된 페이지를 확인할 수 있습니다.

어떤 페이지가 차단되는지 더 잘 느끼면 실제 문제를보다 쉽게 ​​찾아 낼 수 있습니다. 그런 다음 수정하면 갑자기 즉시 처리되거나 오 탐지 ( '차단'페이지 하단에 링크가 있음)를보고해야 할 수 있습니다.

감염 여부를 확인하기 전에 오 탐지를보고하면 역효과를 낳을 수 있습니다. 문제를 먼저 찾아서 해결하기 위해 열심히 노력하십시오.

편집하다

실행하는 Claroline (1.11.9) 버전에는 2014 년 이후 알려진 여러 XSS 취약점이 있습니다.

Claroline 1.11.9 및 이전 버전의 다중 교차 사이트 스크립팅 (XSS) 취약점으로 인해 인증 된 원격 사용자는 (1)받은 편지함 작업의 검색 필드를 messaging / messagebox.php에 (2) " 이름 "필드를 auth / profile.php로, 또는 (3) rq의 스피커 필드를 calendar / agenda.php로 추가

문제가 실제로 저장된 XSS 공격 인 경우 최신 데이터베이스 덤프를 가져 와서 <script태그 와 같은 것이 있는지 확인하십시오 (대소 문자를 구분하지 않고 검색하는 것을 잊지 마십시오).

IP 주소 http://195.186.210.161/ 에서 브라우저를 가리키면 Swisscom의 "위험한 웹 사이트가 차단되었습니다"라는 메시지가 나타납니다. 내 생각에 그들의 "안전한 인터넷"콘텐츠 차단 시스템은 적어도 부분적으로 DNS 요청에 응답하여 작동하며 어떤 이유로 든 귀하의 웹 사이트가 파울 링하고 있다고 생각합니다.

나는 그들이 당신을 막고 있는지 물어 봤지만, 내 경험상 중소 규모 ISP의 최전선 기술 지원조차도 무슨 일이 벌어지고 있는지에 대해 조금도 알지 못합니다. 전체 보모 시스템이 아웃소싱되거나 (타사 상용 제품에 의해 수행됨) Swisscom의 어느 누구도 어떤 사이트가 특정 시점에 차단되는지 전혀 모릅니다. 학생에게 "유모 인터넷"설정이되어 있는지 묻는 것이 더 생산적 일 수 있습니다.

하루가 끝나면 ISP의 고객이 아니기 때문에 해결할 수있는 문제가 아닐 수 있습니다. 학생의 부모가 ISP 지원 센터에 전화하여 잘못된 DNS 확인에 대해 큰 소리로 불평하고, 해결되지 않은 경우 ISP 변경을 위협하는 것이 유일한 영향 일 수 있습니다.

편집 : 이 스레드 는 Swisscom의 사이트 차단 엔진이 약간 열광적 일 수 있으며 항상 긍정적 인 해결책을 얻는 것이 쉬운 것은 아니라고 제안합니다. 또한이 필터는 옵트 인 필터가 아니라 원하는 모든 스위스 콤 고객에게 적용되므로이를 거부하는 것이 어려울 수 있습니다.